這幾天,美國炸鍋瞭 ……
這周四,有傢名叫 Equifax 的公司宣佈,自己被黑瞭!泄露瞭 1.4 億美國人的身份信息!
你可能沒聽說過這公司,Facebook 美國用戶也才兩億左右,Equifax 怎麼就有 1.4 億?
是這樣的:美國社會信用制度實行已久,但承擔征信職能,給每個人評定、記錄和增扣信用分的卻不是政府,而是三傢最大的征信公司,Equifax 就是其中之一,另外兩個是 Experian 和 TransUnion。美國版的芝麻信用,能懂吧?
在美國,信用制度的核心是社會安全號碼 ( Social Security Number, SSN ) ,公民在向政府以及征信機構提交各種文書時,通常會用到不同的證件,但 SSN 和駕照是最常用的。
而這次,Equifax 泄露基本上是用戶的全套數據瞭 ……
Equifax 第一宗罪:泄露資料
Equifax 的這次數據安全事件影響瞭超過 1.43 億美國人,他們的姓名、生日、SSN、手機號碼和住址都有可能已經被黑客竊取。同樣可能被竊取的還有一部分美國人的駕照號,21 萬人的信用卡號碼,以及大約 18 萬人的法律文件,上面記錄有詳細的個人辨識信息。除瞭美國之外,英國和加拿大用戶也受到不同程度影響 ……
該公司董事長兼 CEO 裡克 · 史密斯 ( Rick Smith ) 在聲明中宣稱,黑客 " 未經許可 " 獲取瞭 Equifax 服務器的訪問權限。
廢話,問你要許可的還叫黑客麼 ……
1935 年,施行羅斯福新政的美國推出瞭社會安全系統,每個美國人都可以領到一張社會安全卡(其實就是一張紙),上面就是 SSN,一段 9 位的數字。SSN 的制度沿用至今,除瞭美國人,特定身份的外國人在美國有收入和報稅需要也可以申請,基本上是美國人人都有的東西。
這個系統的問題是 …… 它已經快一百年沒有改變過瞭。它有很嚴重的安全隱患:SSN 一直是那個 9 位的數字,一直是那張紙,上面有你的名字,丟瞭就等於身份丟失。
社會安全卡
而且這個數字還會出現在幾十上百種公開的法律文書和證件,比如醫保卡、報稅表上,極其容易被盜取。
然而,隻要美國不立法取締這個制度,隻要政府不下達命令,SSN 就還得繼續用下去 ……
但現在的問題是,SSN 的確不安全,但 Equifax 作為一傢征信機構,手握幾億美國人的全套信息,還沒搞好服務器安全把信息拱手送給黑客,這口黑鍋可就不是 SSN,而是 Equifax 的瞭 ……
對瞭,Equifax 的信息安全負責人約翰 · 凱利 ( John J. Kelley III ) 因在 " 建造和優化全球級的安全系統 " 上的突出表現,去年獲得瞭 280 萬美元薪水和紅利。
Equifax 第二宗罪:隱瞞信息、內幕交易
Equifax 是周四宣佈的自己被黑的消息。
可它其實在 7 月 29 日——足足一個月之前就發現瞭。
美國人口 3.26 億左右,1.4 億或意味著近一半人口的信息泄露瞭。
問題如此之嚴重,Equifax 照樣瞞瞭一個月 ……
它給的解釋是 " 發現瞭之後聘請瞭外部安全公司來做調查,而調查仍在進行過程中。"
也真是夠瞭 …… 要不是因為已經上市,真不知道 Equifax 能把這事兒瞞多久。
同樣,因為是上市公司,所有重要事項都要跟聯邦證券交易委員會(SEC,美國的證監會)報備。眼尖的美國媒體立刻去翻 SEC 的文件,發現:Equifax 的首席財務官、美國信息解決方案總裁和 員工方案總裁共三名高管,在公司股價高位賣出瞭總價值接近 180 萬美元的 Equifax 股票 ……
而在 9 月 7 日醜聞曝光後,Equifax 的股價立刻暴跌。
Equifax 的發言人表示,這三人賣出瞭小比例的股份,他們在當時對本次侵入事件並不知情。
然而法律文書是騙不瞭人的:三人賣出股票的日期是 8 月 1 日和 2 日——公司發現被黑客侵入的足足三天後。
身為公司的 C-level 和總裁級高管,出事後三天都 " 不知情 ",蒙誰呢?
毫無疑問,三人的行為涉嫌內幕交易 ( Insider Trading ) ,但畢竟作為經驗豐富的高管,狡猾奸詐的老狐貍,這三人明知道有內幕交易風險,還是做瞭這單,很可能已經安排妥當瞭。
一位網友在 Twitter 上表示," 一想到這幫人可能吃個官司花點錢隨便弄一弄就沒事瞭,好不爽啊 "。
但如果你以為 Equifax 已經夠不要臉的瞭,你還是小看瞭它 ……
Equifax 第三宗罪:發國難財
前面提到,美國一半人口被本次黑客事件波及,這足以導致 SSN 制度,甚至整個美國信用系統遭遇顛覆性危機 ……
而 Equifax 倒是聰明得很,讓人感受到瞭美國大企業能油條到什麼程度:
在宣佈事件的同時,Equifax 很機智地上線瞭一個網站 equifaxsecurity2017.com。他們在這個網站上交代瞭事情的前因後果,但用的是他們自己的口徑,而且交代的並非全部的、最詳細的事實。
這個網站的一個功能是讓美國人上去查詢自己的資料。聰明的地方在這裡:這個網站越多人搜索、越多人訪問、越多人轉發,Equifax 自己的口徑就傳播的越廣 ……
輸入你的姓和 SSN 的後六位,網站會告訴你的資料是否泄漏。如果波及瞭你,這個網站會很聰明地告訴你:
感謝!根據您提供的信息,你的資料可能已經泄露。點擊按鈕來註冊高級賬戶服務!
最不要臉的地方在這裡:這個網站誘導你去註冊的這個所謂的高級賬戶服務,名叫 TrustID Premier,看起來好像是進一步保護你的資料的 …… 並不是!
它其實是一個三大機構聯合監控你的信用分的服務,之前是付費的,這兩天免費但不知道持續多久 ……
而且它根本保護不瞭你的資料,因為它的提供方也是 Equifax…… 沒錯,就是上個月剛剛被黑客攻破拿走瞭 1.4 億用戶資料的 Equifax。
我從未見過如此厚顏無恥之人 ~
Equifax 第四宗罪:巧言簧舌躲避起訴
如果你的資料被波及瞭,被 Equifax 騙瞭,註冊瞭這個 TrustID Premier 服務,它會讓你再一次提交全名和 9 位 SSN,然後會讓你同意用戶服務條款。
條款有這樣一條:你放棄向 Equifax 發起集體訴訟的權利。
同樣,如果你之前已經是 Equifax 的用戶,那你可能已經簽署瞭同樣的條款。
集體訴訟 ( class-action lawsuit ) 是美國法律允許的一種起訴方式。如果一傢公司坑瞭你 100 塊錢,你起訴他要求賠償 100 塊,能不能贏不好說,通常會被大公司利用法律程序導致你付出大量的訴訟費用,很不經濟。但如果成千上百人發起集體訴訟,案值高,你的律師和其他法律服務提供者更容易賺到錢,原告方更容易獲得法律支持,勝算也更高。
而在本案中,1.4 億人就不說瞭,哪怕幾千人一起集體訴訟 Equifax,它都輸定瞭 …… 這也是為什麼 Equifax,以及很多向公眾提供有償服務的公司都會在用戶條款中放置同樣或類似的條文,你一不小心沒看見,簽瞭名,今後就隻能吃悶虧瞭。
隻能說,大公司太會玩 ……
Equifax 的鬧劇離結束還早得很。
已經有一些受害者聯合起來發起瞭集體訴訟,他們的宿命尚未可知。另外,紐約市總檢察長已經表示對這傢公司啟動調查。
與此同時,這傢公司似乎已經被突如其來的危機沖垮,它在奇葩的道路上一去不復返瞭 ……
我們的矽谷同事昨天查,發現自己沒中獎;今天又上去查,發現中獎瞭 …… 我告訴她別註冊那個 TrustID Premier,她又去查瞭一下發現又顯示 "not impacted" 瞭 ……
可能 Equifax 的程序員不知道該幹點啥,今天我就刪庫玩吧!
同樣不知道今天上班該幹點啥的還有 Equifax 的客服部門同事 Stevie。該公司的客服 Twitter 賬號 @AskEquifax 早上起來發瞭一條推:
周五快樂!今天 Stevie 也要熱情滿滿滴為您提供客戶服務哦!
我看你這個周五是甭想過好瞭,說不定工作都沒瞭 ……
